Part 2. 정부청사의 대책마련
사람의 개입이 최소화된 보안 시스템 구축 시급

[시큐리티월드 원병철] 지금까지 공시생의 정부서울청사 불법침입 사건의 개요와 정부의 대책마련에 대해 살펴봤다. 이제 문제를 파악하고 대책을 마련하는 단계지만, 그렇기 때문에 반드시 짚고 넘어가야할 것이 있다.

과연 지금의 정부청사 보안이 방향설정을 제대로 하고 있는 가에 대한 이야기다. 상식적으로 국가 1급 보안시설이라 하면 해당 국가의 보안능력이 최대한 발휘되어야 하는 장소인데, 테러범도, 대테러전문가도 아닌 26살의 일반인이 한 번도 아닌 여러 번 드나들었다는 사실은 엄청난 문제다. 극단적인 예를 들어보자.

정부청사에 침입한 사람이 공시생 송모씨가 아닌 테러리스트였다면? 훔친 공무원증과 비밀번호로 청사 이곳저곳에 폭탄을 설치해 테러를 일으켰다면? 당장 대한민국 정부의 기능이 마비되는 것은 물론, 대한민국의 모든 움직임이 모두 멈춰버리게 될 것이다. 이번 사건은 이렇게 심각한 상황이다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

	▲아마존 등에서 50만원이면 구입할 수 있는 RF 카드 복제 장비

지금까지 상황을 돌아보면 이번 사건에서 크게 두 가지 문제점을 확인할 수 있다. 첫 번째는 보안시스템의 미비다. 물론 정부청사에는 출입통제를 위한 다양한 시스템은 물론 CCTV 등 영상감시 시스템들이 갖춰져 있다.

공무원증으로 출입을 해도 X레이 검색대에서 짐을 검사하고, 보안직원들이 공무원증과 실제 얼굴을 비교·검사해 출입을 통제한다. 하지만 실제로 보면 어떤가? 정부청사에는 여러 개의 출입구가 있어 어떤 출입구에는 시큐리티 게이트가 있지만, 어떤 출입구에서는 공무원증을 확인하는 수준으로 출입이 가능하다.

X레이 검색대가 있지만 출퇴근 시간에 수많은 사람들이 몰릴 때는 정확한 검수가 이뤄지지 않는다. 얼굴비교 역시 마찬가지. 수많은 사람들이 오가는 상황에서 일일이 사진과 얼굴을 비교할 보안요원은 없다. 그렇다면 과연 이것들을 직원들의 보안의식 문제로만 볼 수 있을까? 아니다. 오히려 직원, 사람의 참여가 최소화할 수 있을 정도로 시스템을 강화해야 한다.

두 번째는 공무원들의 보안의식 미비다. 송모씨가 정부청사에 출입할 때 사용했던 방법은 사람들 틈에 끼어서 들어가기였다. 한 사람씩 게이트를 통과하거나, 개개인의 신분증과 얼굴을 확인해야 하지만, 보안요원은 그렇지 않았다.

또한 함께 들어갔던 의경들 역시 자신의 일행이 아닌 사람이 일행인척 함께 들어가는 것을 발견했다면 이를 보안요원에게 이야기 했어야 했다. 공무원 지침에도 나와 있는 PC 암호를 설정하지 않은 것도, 외부 인력들이 비밀번호를 외우기 힘들다고 비밀번호를 적어놓은 것도 다 보안에 대한 의식이 부족했기 때문이다.

해킹 가능한 출입증부터 교체해야
그렇다면 이러한 문제를 어떻게 해결해야 할까? 간단하다. 보안을 강화하고, 직원 보안교육을 실시하면 된다. 단순히 현재 시스템에서 강화가 아닌, 국가 1급 보안시설답게 대테러상황을 가정한 철저한 보안시스템을 구축하고 공무원과 관련 직원들의 보안교육을 통해 보안의식을 고취하면 된다.

가장 우선적인 해결책은 출입통제를 강화하는 것이다. 청사의 출입은 공무원증을 중심으로 이뤄지는데, 이번 사건을 통해 그 허점이 그대로 드러났다. 우선 이번 사건처럼 훔친 공무원증으로 출입이 가능한 것은 공무원 개인의 대처가 가장 중요하다. 실제로 첫 번째 훔쳤던 공무원증은 주인이 분실신고를 했기 때문에 두 번째 침입에서는 사용하지 못했다. 하지만 송모씨가 체력단련실에서 공무원증을 훔친 게 아니라 복제를 한 후 도로 돌려놨다면 어땠을까?

본지도 지적했던 일이지만 현재 공무원증으로 사용하는 RF 카드의 경우 별도의 장비만 있다면 쉽게 복사가 가능하다. 특히 RF 카드의 복제 위험성은 국정원에서도 사용하지 말 것을 권고할 정도로 익히 알려져 있지만, 비용문제로 대부분의 ID 카드가 RF 카드를 사용하고 있다.

현재 공무원증을 비롯한 대부분의 ID 카드로 사용하는 것이 바로 RF 카드다. 이 RF 카드는 낮은 보안성 때문에 손쉽게 복사가 가능하다고 하는데, 실제로 얼마나 빠르게 복제가 되는 지 직접 테스트를 해봤다.

RF 카드 복제 장비는 아마존 등 해외 쇼핑몰에서 쉽게 구입이 가능하며, 가격 또한 약 50만 원대로 비싸지 않다. 테스트를 진행한 엘트정보기술 역시 RF 카드 복제의 위험성을 알리기 위해 직접 아마존에서 복제 장비를 구입했다고 한다. 또 복제 방법이나 과정 역시 유튜브에 올라와 있어 일반인도 쉽게 구입 및 사용할 수 있다는 것이 엘트정보기술의 설명이다.

테스트에 사용된 것은 국내 ID 카드의 90% 이상을 차지하고 있다는 ‘마이페어 클래식 카드’다. 노트북에 연결한 카드 복제 장비에 신분증을 갖다 대자 바로 카드정보가 떴고, 이를 저장한 후 공카드를 연결해 바로 복제가 됐다. 불과 1~2분 사이에 벌어진 일이다.
엘트정보기술 담당자는 “실제 기관을 방문해 복제 테스트를 시연하면 다들 놀래지만, 복제가 힘든 콤비카드(RF+IC) 교체를 이야기 하면 비용 등의 문제로 적용하는 곳은 거의 없다”며 안타까움을 표했다.

시큐리티 게이트와 X레이 검색대 등 시스템 강화
출입증 다음으로 주목할 것은 바로 실제 출입이 일어나는 현장이다. 정부서울청사는 건물에 출입할 수 있는 곳이 몇 곳 있는데, 문제는 시큐리티 게이트와 X레이 검색대가 전체에 다 설치된 것이 아니라는 것이다.

시큐리티 게이트는 겉으로 보기에는 사람의 출입을 완벽하게 통제하기 힘들어보지만, 속을 들여다보면 다르다. 우선, 출입증이 없으면 출입자체가 불가능하며, 뒤따라 들어가는 등의 행위도 막을 수 있기 때문에 보안요원과의 협업만 잘 이뤄지면 몰래 침입하기란 불가능 하다.

또한, 게이트의 성능 외에도 운영을 위한 설계도 중요하다. 게이트를 설계할 때 가장 우선적으로 고려해야할 것이 몇 개의 게이트를 설치하느냐다. 시큐리티 게이트 관계자에 따르면, 보통 시큐리티 게이트는 1분당 50명이 통과할 수 있는 통과속도를 갖고 있기 때문에 출퇴근 시간과 엘리베이터의 수, 엘리베이터의 수용인원 등을 고려해 게이트의 수를 결정한다.

X레이 검색대 역시 마찬가지. 하지만 정부서울청사의 경우 그리 쾌적한 수준은 아니다. 상황이 이렇다보니, 사람이 많이 몰리는 출근시간에는 철저한 출입통제가 이뤄지기 어렵다. 시스템의 추가 설치가 이뤄져야 하는 이유다. 또한, 아직 시큐리티 게이트와 X레이 검색대가 설치되지 않은 출입구의 경우 우선적으로 설치해 출입통제를 하는 것이 필요하다.

각 층, 각 부서별로 별도의 출입통제가 이뤄지지 않는 것도 문제다. 출입통제가 제대로 이뤄지는 몇몇 기업의 경우 각 층별로 별도의 출입권한을 책정해 직원이라 해도 아무 층이나 오갈 수 없도록 하는 곳이 있다. 정부청사도 이러한 시스템을 도입해 각 층별로 출입을 통제해야 이와 같은 사고를 줄일 수 있을 것이다.

얼굴비교, 사람이 아닌 시스템으로
이번 사건에서 가장 이슈가 되고 있는 것이 바로 비밀번호 문제다. 주요시설에 접근을 통제하기 위해 설치한 비밀번호 시스템을 단지 비밀번호를 외워 사용하는 것이 어렵다는 이유로 비밀번호를 적어놓음으로써 범인이 쉽게 출입할 수 있도록 만든 것이다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

	▲파이브지티의 얼굴인식 로봇, 도봇(Dobot)

하지만 출입통제 시스템에서 ‘키(Key)’로 사용할 수 있는 것은 비밀번호 외에도 많다. 특히 우리나라가 세계 시장에서 강국으로 꼽히는 바이오인식(Biometrics)의 경우 굳이 키를 가지고 다닐 필요도, 비밀번호를 외울 필요도 없다.

지문인식은 바이오인식 기술중 가장 보편적인 기술이며 뛰어난 안정성을 자랑한다. 정맥인식은 일본에서 활용하는 분야지만 국내에도 손꼽히는 정맥인식기업이 있을 정도다. 얼굴인식은 사용자가 부담을 덜 느끼는 분야며, 특히 공무원증의 얼굴과도 비교할 수 있다는 장점이 있다.

앞서 출근시간의 바쁜 시간대에 보안요원들이 공무원증의 사진과 공무원의 실제 얼굴을 비교하는 것이 힘들다고 지적한 바 있는데, 얼굴인식 시스템을 구축해 시스템이 두 얼굴을 비교하도록 하면 빠르고 정확하게 검사할 수 있다는 것이 바이오인식 업계의 설명이다.

특히, 얼굴인식 전문기업 파이브지티의 정규택 대표는 “예를 들어, 어떤 사람이 공무원의 지문을 복제해 가짜 지문으로 침입했을 경우 그 사람이 어떤 사람인지 알 수 없지만, 공무원증에 저장된 얼굴을 바꿔서 침입했을 경우에는 실제 침입한 사람의 얼굴이 시스템에 그대로 남기 때문에 범인을 특정할 수 있습니다. 가장 중요한 증거인 얼굴이 남는 다는 것이죠. 또, 자기의 얼굴이 정확하게 찍힌다고 하면 범죄를 저지를 사람은 없습니다. 정부청사에 출입할 때 어떤 경우에도 얼굴이 찍힌다고 하면 범죄자는 범죄를 포기하겠죠”라고 강조했다. 얼굴인식 시스템을 구축할 경우 범죄예방 효과가 있다는 것이다.

지난 해 본지가 ‘최근 이슈가 되고 있는 본인 인증수단과 관련해 가장 안전하다고 생각하는 본인인증 수단은?’이라는 질문으로 설문조사를 진행한 결과, 총 응답자 911명 중에서 315명(34.5%)이 ‘바이오인식(지문인식 등)’이라고 답해 가장 많은 응답을 받았다. 이처럼 바이오인식은 출입통제는 물론, 금융과 결제 분야에서 새롭고 안전한 본인인증 수단으로 주목받고 있다는 것을 알 수 있다.

지금까지 정부서울청사 사건을 시스템적인 부분에서 접근했다면, 다음 Part.3에서는 기업의 보안전문가에게 관리 프로세스에 대한 이야기를 소개하고자 한다.

[글 시큐리티월드 원병철 기자(sw@infothe.com)]

[월간 시큐리티월드 통권 232호(sw@infothe.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>